Auto-attestation pour M-22–18

Il y a deux ans, L'Ordre Exécutif 14028 ("Améliorer la cybersécurité de la Nation") a souligné l'importance de mettre à jour l'hygiène cybernétique de la Nation.

En septembre 2022, le Bureau de la gestion et du budget (OMB) l'a rendu opérationnel en publiant la note M-22–18 ("Amélioration de la sécurité de la chaîne d'approvisionnement logicielle grâce à des pratiques de développement logiciel sécurisé").
Le M-22–18 décrit une partie du plan de mise en œuvre de l'EO14028 pour les agences fédérales.

La note se concentre, à son tour, sur deux artefacts pour établir la sécurité et la maturité des pratiques de développement d'un producteur de logiciel.

• Un formulaire d'auto-attestation déclarant les pratiques de développement du producteur

• Bill de matériaux logiciel (SBOM) par version de produit déclarant la composition du logiciel

Alors que la spécification et les exigences pour le SBOM ont été bien établies avec les Éléments Minimaux pour un Bill de Matériaux Logiciel de la NTIA, les exigences pour l'auto-attestation ont été en cours de développement (et il sera intéressant de voir comment les délais — juillet pour les logiciels critiques et septembre pour tous les autres logiciels — pourront être gérés).

Le 27 avril, la CISA a publié les détails du formulaire d'auto-attestation pour commentaires publics. Le formulaire s'appuie fortement sur les pratiques et les tâches spécifiées dans le NIST SP 800–218 ("Cadre de développement logiciel sécurisé") révisé à la version 1.1 pour l'Ordre Exécutif.

Bien que les exigences puissent encore changer après la fin de la période de commentaires publics (26 juin 2023), Interlynk a cartographié les exigences d'auto-attestation dans un format facile à suivre pour aider les organisations à prendre de l'avance.